If a safety-related railway control system involves the transfer of information between different locations, the communication system then forms an integral part of the safety-related system and it must be shown that the end to end transmission is safe in accordance with CENELEC EN 50129. The safety requirements for a data communication system depend on its characteristics which can be known or not. In order to reduce the complexity of the approach to demonstrate the safety of the system two classes of transmission systems have been considered for railway applications. The first class consists of the systems over which the safety system designer has some degree of control. The second class, named open transmission system, consists of all the systems whose characteristics are unknown or partly unknown. In railway applications the standard EN 50159-2 defines the safety requirements addressed to the transmission through open transmission systems. The presentation discusses the basic requirements and in particular architectural constraints imposed by the standard and give some application examples.

Eine industrielle Anlage besteht aus unterschiedlichen Hardware- und Software-Komponenten. Um eine Gefährdungen des Bedienpersonals und der Umwelt zu vermeiden und um eine ordnungsgemäße Produktion zu gewährleisten, müssen die verbauten Komponenten die an sie gestellten Anforderungen erfüllen, z.B. von einem qualifizierten Lieferanten stammen, und ordnungsgemäß in der Anlage installiert sein. Eine durch Security-Mechanismen bestätigte Produktidentität für Softwarekomponenten und physische Anlagenkomponenten erbringt einen nicht-manipulierbaren und vor Allem auch automatisiert auswertbaren Herkunftsnachweis. Beim Nachweis der Anlagenintegrität werden die einzelnen Komponenten und die Gesamtkonfiguration überprüft. Manipulierte, nicht zugelassene Software- und Hardware-Komponenten werden erkannt. Auf den Einbau von nicht zugelassenen Austauschkomponenten (z.B. falsche Version) oder bei unzulässigen Umbauten an der Anlage kann geeignet reagiert werden. Je nach Schwere der Abweichung kann ein Betrieb der Anlage eingeschränkt oder sogar ganz unterbunden werden, oder es wird nur ein Warnhinweis erzeugt. Insbesondere können dadurch Manipulationen an Safety-Schutzmaßnahmen erkannt werden. Wenn nicht zulässige Safety-Komponenten installiert sind, kann eine geforderte Anlagensicherheit nicht gewährleistet werden. Neben den direkten personellen und auch materiellen Gefährdungen können sich auch negative Auswirkungen auf Gewährleistung und Versicherungskonditionen ergeben. Die praktische Bedeutung und Realisierungsmöglichkeiten einer nachweisbaren Anlagenintegritätsprüfung werden anhand von industriellen Anwendungsbeispielen dargestellt.

In this presentation, we will present benefits of a model-based software development approach using automatic code generation certified to the IEC 61508 (from which e.g. ISO/DIS 26262 (automotive), EN 50128 (transportation), and DO-178B (aerospace) are derivations) evaluated in a real-life project in direct comparison to conventional software development techniques. The project was conducted in the area of transportation (railway control center) under SIL-4 requirements. The experiences made are transferable to other domains for which similar constraints (standards) are valid. We could proof that for module design, implementation and testing the effort can be decreased by half while increasing the quality of the whole software in terms of efficiency, effectivity and maintainability in parallel.

Die Absicherung von Car2X- und In-Car Szenarien stellt hohe Anforderung an die Entwicklung von geeigneten Sicherheits- und Safety Maßnahmen. Durch die Einführung des IP Protokolls im Fahrzeug soll die komplexe Kommunikationsstruktur von sehr vielen, heterogenen, von einander isoliert arbeitenden Electronic Control Units (ECUs), Sensoren und Aktoren zum einen deutlich vereinfacht und eine durchgehende Kommunikation zwischen den Komponenten des Systems of Systems ermöglicht werden. Durch den Übergang zu offenen, IP-basierten Plattformen im Fahrzeug ergeben sich völlig neue Bedrohungen für die Betriebs- und Funktionssicherheit der eingebetteten Komponenten. Manipulierte ECUs, Sensoren oder manipulierten Kommunikationsdaten können sicherheitskritische Situationen herbei führen, wie der Ausfallen der Bremskraft- oder eine aktive Manipulation der Fahrzeuglenkung. Neue Bedrohungs- und Angriffsszenarien ergeben sich dadurch, dass potentiell alle Fahrzeugsysteme jederzeit, von Angreifern zugänglich sind. Der Vortrag wird Ergebnisse aus laufenden nationalen und europäischen Projekten des SIT vorstellen, die darauf abzielen, Security und Safety von Fahrzeugen zu erhöhen. So ist das Ziel des vom Fraunhofer SIT geleiteten EU-Projekts EVITA, Architekturen und Lösungen zu entwickeln, so dass die Infrastruktur innerhalb eines Fahrzeuges vor Eingriffen geschützt wird. Im BMBF-Projekt SEIS (Sicherheit in Eingebetteten IP-basierten Systemen) oder auch im BMBF-Projekt simTD (Sichere Intelligente Mobilität, Testfeld Deutschland) werden Sicherheitslösungen zur Unterstützung IP-basierter Echtzeit-Kommunikationssysteme zwischen Embedded Devices in Automotivanwendungen sowie Schutz- und Missbrauchslösungen für Fahrzeugkomponenten und Netzelemente in Kommunikationsinfrastrukturen entwickelt. Es zeigt sich, dass u.a. vereinheitliche Fehler-, Angriffs- und Bedrohungsmodelle notwendig sind, um die Wechselwirklungen zwischen Security und Safety-Eigenschaften präzise zu erfassen und in geeignete Systemarchitekturen umzusetzen.

Eingebettete Softwaresysteme haben in den letzten 20 Jahren einen immer größeren Anteil an unserer Lebens- und Arbeitswelt erhalten. Von der Waschmaschine, über das Automobil bis zu komplexen Produktionsanlagen übernehmen sie die Steuerung von teils hochkomplexen und sicherheitskritischen Anwendungen. War der Zugriff auf solche Systeme bisher i.d.R. lokal beschränkt und damit kontrollierbar, führt die fortschreitende Vernetzung dieser Systeme und ihre Integration in öffentlich zugängliche Kommunikationsinfrastrukturen wie dem Internet, zu einer neuen Klasse von Risikofaktoren, die es systematisch zu analysieren gilt. In unserem Vortrag erläutern wir die Bedeutung der IT-Sicherheit als relevanten Faktor für die funktionale Sicherheit eingebetteter Systeme am Beispiel der Integration von Fahrzeugen bzw. Fahrzeugfunktionen in und mit öffentlich zugänglichen Kommunikationsinfrastrukturen. Bereits heute sind moderne Fahrzeuge mit ihrer Umgebung vernetzt. Bisher nutzen allerdings fast ausschließlich Entertainment- und Telematiksysteme öffentlich zugängliche Kommunikationsinfrastrukturen. Für zukünftige Fahrzeuggenerationen werden jedoch vermehrt auch Fahrassistenzsysteme konzipiert, die auf Kommunikationstechnologien aufsetzen und die in den Bereich sicherheitskritischer Systeme fallen. Der Schutz dieser Systeme gegen Angriffe und die Gewährleistung von Vertraulichkeit, Integrität, Authentizität, Verfügbarkeit und Verbindlichkeit der kommunizierten Daten werden in diesem Zusammenhang zu kritischen Faktoren für die funktionale Sicherheit des Gesamtsystems Fahrzeug. Wir zeigen, wie die oben genannten Faktoren systematisch ermittelt und in eine funktionale Risikoanalyse integriert werden können.